RiskFinder(リスクファインダー)とは、アンドロイドアプリケーションの脆弱性を診断するウェブサービスです。
開発知識は不要です。 アプリケーションファイルとブラウザを準備するだけで、すぐに診断結果が得られます。 セキュリティ事故防止の一環として必ずお役に立てるサービスです。
特徴
- ブラウザでファイルをアップロードするだけなので、誰でも使用できます
- アプリケーションファイルのみで診断可能。ソースコードは不要です
- ウェブサービスなので常に最新のバージョンが使用できます
- 脆弱性に加え、マルウェアと間違えられやすい項目・品質に関する項目も検出します
- 総務省の「スマートフォン プライバシー イニシアティブ」に準拠するための情報を出力します
NEW
2024年12月にRiskFinder15をリリースしました
RiskFinder15は「Android15」に対応したバージョンです。
Android OS 15では、プライベートスペース機能が追加されました。アプリケーションをプライベートスペースにインストールする事で存在を隠すことが可能になります。また、パスワードに代わる認証方法として使われ始めているパスキーは、強化され実装しやすくなっています。
上記の変更や指針に関する事項をチェックし、問題個所を指摘し、改善案を提供致します。
開発の背景
Androidの急速な普及に伴い、現在多くのアプリケーションがリリースされています。しかし、市場が急速に広がったためにAndroidに精通した技術者は不足しています。
経験の十分でない技術者が開発に関わる事も多く、また、モバイルアプリケーションの製作は従来のアプリに比べ開発時間が短く、バージョンアップも短いサイクルで行われるため、「動くこと」に注力した開発が行われがちです。
これらが原因となり、セキュリティホール(脆弱性)があったり、マルウェアと間違えられる可能性があるままリリースされているアプリが多く見られる状況になっています。
このようなアプリケーションを公開してしまうと、企業イメージの悪化や炎上問題、最悪の場合セキュリティ事故につながる可能性があります。
このような問題がありながらも、熟練した開発者が少ないこともあり、技術の蓄積が十分でない開発者へ発注せざるを得ない状況が続いています。
一方、発注者が行う受け入れテスト(検収)時にセキュリティホールや品質面の不具合を発見するのは、セキュリティに関する関する詳しい知識が必要となるため、発注者が全ての問題を発見するのは非常に困難であると言わざるを得ません。
開発の経緯
タオソフトウエアは、アンドロイドが発表された当初から研究開発を行いながら技術を蓄積し、ブログや講演等による情報発信を通して開発者のセキュリティ意識の啓蒙につとめてきました。
- アプリケーションの権限問題には、tSpychecker
- アプリケーション構造を確認する、tPackegeExploer
- アプリケーションの通信内容を確認する、tPacketCapture
2012年1月にプログラマ向けの書籍「Android Security ~安全なアプリケーションを開発するために」をインプレスジャパンより出版しました。
セキュリティに関する講演やコンサルテーションを行う中で、「セキュリティに関する技術情報を、開発現場から発注者まで全ての人間が把握するのは難しく、また今後のアンドロイドのバージョンアップで追加変更されていくセキュリティ事項に追従して行くのも大変である。アプリのセキュリティについて簡単に診断できる仕組みはないか」との声を多くいただきました。
そのようなリクエストに応え、また、高価なセキュリティチェックを自動化によって手軽に利用できるものにする、ということを念頭にRiskFinderを作成しました。
RiskFinderを使用することにより簡単に脆弱性診断をする事が可能になり、アプリケーションの品質を一定に保つ事が可能になります。